今日頭條
官方微信
官方抖音
資訊頻道1 市政水處理行業(yè)自動化與信息化現(xiàn)狀
市政水處理行業(yè)自動化的內(nèi)容和范圍就凈水廠和污水處理廠而言,涵蓋了:生產(chǎn)過程自動化系統(tǒng)、過程控制儀表及在線水質(zhì)監(jiān)測儀表、全廠閉路電視監(jiān)控安防系統(tǒng)、門禁、考勤與巡更系統(tǒng)、全廠網(wǎng)絡(luò)布線及信息化系統(tǒng)等。網(wǎng)絡(luò)結(jié)構(gòu)由現(xiàn)場總線發(fā)展到多層次復(fù)雜結(jié)構(gòu)的光纖環(huán)網(wǎng),并通過無線通訊延伸至移動設(shè)備(如:吸泥行車、行走式刮泥機等)和廠外遠端控制站,水源地、取水泵站、加壓泵站、管網(wǎng)監(jiān)測點、污水排放口收集水質(zhì)流量監(jiān)測、污水管網(wǎng)監(jiān)測、污水中途提升泵站等。閉路電視監(jiān)控逐步發(fā)展到了智能網(wǎng)絡(luò)數(shù)字系統(tǒng),從部分關(guān)鍵點的設(shè)置發(fā)展到幾乎無死角的全面監(jiān)控,自動化技術(shù)的應(yīng)用在市政水處理行業(yè)已經(jīng)日漸成熟。
市政行業(yè)還包括城市防澇系統(tǒng)、市政道路交通、城市地下綜合管廊等,自動化的應(yīng)用在這幾個方面還剛剛起步。雨水收集、初級雨水處理、雨水排的利用、雨水泵站等設(shè)施的監(jiān)控,市政道路的監(jiān)控與智能化交通管理,地下綜合管廊的各項參數(shù)的監(jiān)測與監(jiān)控,自動化技術(shù)可以發(fā)揮的潛力巨大。
隨著自動化的發(fā)展,信息化的應(yīng)用也大范圍地展開,其中重要的一個環(huán)節(jié)就是監(jiān)控中心以及分布在各個部分的人機界面,SCADA監(jiān)控中心是自動化與信息化的交接點,作為數(shù)據(jù)中心服務(wù)器成為連接自動化系統(tǒng)和信息化管理網(wǎng)絡(luò)系統(tǒng)的橋梁。下面就服務(wù)器操作系統(tǒng)的內(nèi)核安全防護的作用,做一個初步的探討。
2 目前的安全措施
目前工業(yè)控制領(lǐng)域安全原則主要是“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”。
(1)安全分區(qū)
安全分區(qū)一般指基于計算機及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng),劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū),并根據(jù)業(yè)務(wù)系統(tǒng)的重要性和對工業(yè)控制系統(tǒng)的影響程度將生產(chǎn)控制大區(qū)劃分為控制區(qū)及非控制區(qū)。
(2)網(wǎng)絡(luò)專用
網(wǎng)絡(luò)專用一般指調(diào)度系統(tǒng)與生產(chǎn)控制大區(qū)相連接的專用網(wǎng)絡(luò)。
(3)橫向隔離
橫向隔離是工業(yè)控制領(lǐng)域業(yè)務(wù)系統(tǒng)安全防護體系的橫向防線。應(yīng)當(dāng)采用不同強度的安全設(shè)備隔離各安全區(qū),在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須部署橫向單項安全隔離裝置,隔離強度應(yīng)當(dāng)接近或達到物理隔離。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用具有訪問控制功能的網(wǎng)絡(luò)設(shè)備、安全可靠的硬件防火墻或者相當(dāng)功能的設(shè)施,實現(xiàn)邏輯隔離。
(4)縱向認證
縱向加密認證是工業(yè)控制領(lǐng)域業(yè)務(wù)系統(tǒng)安全防護體系的縱向防線。生產(chǎn)控制大區(qū)與調(diào)度控制數(shù)據(jù)網(wǎng)的縱向連接處應(yīng)當(dāng)設(shè)置縱向加密認證裝置,實現(xiàn)雙向身份認證、數(shù)據(jù)加密和訪問控制。
一個市政水處理項目自動化控制及信息化系統(tǒng)典型配置結(jié)構(gòu)為:控制網(wǎng)采用光纖工業(yè)以太網(wǎng),各個現(xiàn)場下掛PLC控制站,中控室接中央監(jiān)控服務(wù)器,SCADA監(jiān)控組態(tài)軟件采用服務(wù)器客戶端結(jié)構(gòu),監(jiān)控服務(wù)器內(nèi)裝組態(tài)軟件服務(wù)器版,采用雙網(wǎng)卡,兩個以太網(wǎng)端口分別與工業(yè)網(wǎng)和中控室交換機相連。操作顯示終端內(nèi)裝組態(tài)軟件客戶端,與中控室交換機相連,同時中控室交換機還連接一臺工業(yè)數(shù)據(jù)庫服務(wù)器。中控室交換機通過一臺硬件防火墻與辦公管理網(wǎng)相連,企業(yè)管理的數(shù)據(jù)庫服務(wù)器的關(guān)系數(shù)據(jù)庫,同步工業(yè)歷史數(shù)據(jù)庫的數(shù)據(jù),提供給信息化管理系統(tǒng)。防火墻設(shè)置為僅允許這兩臺服務(wù)器之間的有限數(shù)據(jù)交換,以實現(xiàn)工業(yè)數(shù)據(jù)與管理交換且滿足安全隔離的要求。
也就是工業(yè)網(wǎng)與中控室操作之間以一對冗余的服務(wù)器相連,中控室SCADA中心通過防火墻與管理網(wǎng)相連,三個區(qū)域之間就此相連且被安全隔離。有一些遠程的控制站,例如:取水泵站、加壓泵站、管網(wǎng)監(jiān)測點、污水中途提升泵站等,可以采用公網(wǎng)Vlan以及在兩端配置安全加密模塊,防止外部的惡意侵入。
以上安全防護措施一定程度上保障了工業(yè)領(lǐng)域業(yè)務(wù)系統(tǒng)的安全運行,但近年來發(fā)生的事故說明,在關(guān)鍵業(yè)務(wù)系統(tǒng)上的服務(wù)器,正在運行著低安全等級操作系統(tǒng),成為安全事故發(fā)生的根源。中控室兩臺互為冗余的監(jiān)控服務(wù)器,既是SCADA數(shù)據(jù)中心,又是工控網(wǎng)與監(jiān)控中心與其他人際界面的橋梁,這兩臺服務(wù)器的安全程度,既能影響工控網(wǎng)內(nèi)所有PLC控制站的安全運行,也關(guān)系到實時數(shù)據(jù)的上傳,和生產(chǎn)調(diào)度監(jiān)控指令的及時準(zhǔn)確下達,服務(wù)器上操作系統(tǒng)的安全至關(guān)重要,目前未能引起行業(yè)內(nèi)各個環(huán)節(jié)的重視。
3 操作系統(tǒng)的安全級別
那么何為低安全等級操作系統(tǒng)?按照美國TCSEC標(biāo)準(zhǔn)、國家GB20272-2006標(biāo)準(zhǔn),目前使用的Windows、Linux、Unix操作系統(tǒng)都屬于C2級別或第二等級,不能滿足工業(yè)控制領(lǐng)域操作系統(tǒng)的安全要求。
TCSEC標(biāo)準(zhǔn)是計算機系統(tǒng)安全評估的第一個正式標(biāo)準(zhǔn),具有劃時代的意義。該準(zhǔn)則于1970年由美國國防科學(xué)委員會提出,并于1985年12月由美國國防部公布。TCSEC最初只是軍用標(biāo)準(zhǔn),后來延至民用領(lǐng)域。TCSEC將計算機系統(tǒng)的安全劃分為4個等級、7個級別:D、C1、C2、B1、B2、B3、A。
C2級別操作系統(tǒng)為什么不能滿足工業(yè)控制領(lǐng)域關(guān)鍵業(yè)務(wù)系統(tǒng)的需求?首先,了解一下C2級別操作系統(tǒng)的主要缺陷。
(1)C2操作系統(tǒng)擁有不受任何限制的超級用戶,不論是非法獲得系統(tǒng)管理員權(quán)限,還是運維人員的越權(quán)和誤操作都是導(dǎo)致安全事故的最主要原因之一。
(2)不具備安全審計,安全審計日志可作為事前預(yù)警和事后取證,沒有安全審計機制的C2級別操作系統(tǒng),即不能提前發(fā)現(xiàn)安全隱患,也難以在事故發(fā)生后找到責(zé)任人和事故原因。
(3)C2級別操作系統(tǒng)不能防止已知和未知惡意代碼的入侵,同時,對于非法接入的網(wǎng)絡(luò)設(shè)備沒有任何預(yù)警和抵御能力。
4 操作系統(tǒng)的內(nèi)核安全加固
“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的防護原則核心目的是保護關(guān)鍵業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全以及業(yè)務(wù)的穩(wěn)定運行,然而如果不能解決C2級別操作系統(tǒng)的根源問題,其他任何安全措施就好比將城堡建在沙子上,根基出現(xiàn)問題,任何其他防范措施都不能解決根本問題。那么,對關(guān)鍵業(yè)務(wù)主機進行綜合防護是目前工業(yè)領(lǐng)域安全防護的重點。綜合防護是結(jié)合國家信息安全等級保護工作的相關(guān)要求,對工業(yè)控制領(lǐng)域關(guān)鍵業(yè)務(wù)系統(tǒng)從主機層面實現(xiàn)對操作系統(tǒng)安全等級提升、惡意代碼防范、遠程主機入侵防范、應(yīng)用安全控制、安全審計等多個層面進行信息安全防護的過程。
目前絕大部分的監(jiān)控軟件都是運行在一些主流的操作系統(tǒng)平臺之上,而這些操作系統(tǒng)的安全級別較低,隨著自動化與信息化在行業(yè)內(nèi)所起的作用越來越顯著且被更多的依賴,提升操作系統(tǒng)安全等級,避免事關(guān)民生的災(zāi)難性安全事故,便是我們目前的重要任務(wù)之一。
操作系統(tǒng)安全等級提升是指采用專用軟件強化操作系統(tǒng)的訪問控制能力,提升后的操作系統(tǒng)應(yīng)達到安全操作系統(tǒng)四級,此類專用軟件應(yīng)具備公安部四級安全操作系統(tǒng)測評認證。
惡意代碼防范應(yīng)具備在操作系統(tǒng)內(nèi)核層上實現(xiàn)對未知惡意代碼攻擊的抵御能力。其他情況防范措施還包括,應(yīng)當(dāng)及時更新特征代碼,查看查殺記錄;惡意代碼更新文件的安裝應(yīng)當(dāng)經(jīng)過測試;應(yīng)禁止生產(chǎn)控制大區(qū)與管理信息大區(qū)共用一套防惡意代碼管理服務(wù)器。
遠程主機入侵防范,生產(chǎn)控制大區(qū)服務(wù)器可以統(tǒng)一部署網(wǎng)絡(luò)入侵檢測系統(tǒng),應(yīng)當(dāng)合理設(shè)置檢測規(guī)則,檢測發(fā)現(xiàn)隱藏于網(wǎng)絡(luò)邊界正常信息流中的非法連接及入侵行為,分析潛在威脅并進行安全審計。
應(yīng)用安全控制應(yīng)當(dāng)對用戶登錄、訪問系統(tǒng)資源等操作進行身份鑒別及強制訪問控制,防止核心命令遠程惡意執(zhí)行。
安全審計生產(chǎn)控制大區(qū)的關(guān)鍵業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)具備安全審計功能,能夠?qū)Σ僮飨到y(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用的重要操作進行記錄、分析,及時發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。對于遠程用戶登錄到本地系統(tǒng)中的操作行為,應(yīng)該進行嚴格的安全審計。
在國內(nèi),電力系統(tǒng)已有較多的應(yīng)用,市政水處理行業(yè)也會越來越多地面對這方面的安全需求,希望相關(guān)的部門和企業(yè)能夠未雨綢繆。
作者簡介
劉衛(wèi)民,男,現(xiàn)任中國市政工程西南設(shè)計研究總院有限公司第十設(shè)計研究院總工程師。工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟委員,中國自動化學(xué)會會員,中國土木工程學(xué)會、水工業(yè)分會機電委員會委員,成都自動化研究會常務(wù)理事、專家咨詢委員會副主任委員、《自動化信息》編委。1987年畢業(yè)于上海交通大學(xué)自動控制專業(yè),工作后一直從事自動化專業(yè)工作,有設(shè)計、安裝調(diào)試、軟件開發(fā)、系統(tǒng)集成等工作經(jīng)驗,自動化專業(yè)技術(shù)方面在水處理行業(yè)內(nèi)有一定的影響力。近年來,應(yīng)邀在項目評審、學(xué)術(shù)交流、技術(shù)推廣培訓(xùn)活動方面表現(xiàn)積極活躍。
附錄 部分安全事故實例
(1)二灘事故,2000年10月13日,二灘電廠由于控制系統(tǒng)死機造成甩出電力89萬千瓦,造成川渝電網(wǎng)大范圍的停電事故。(出自《電網(wǎng)典型事故分析》第四章第一節(jié),出版社:中國電力出版社)
(2)2003年12月30日承擔(dān)三峽電力外送的三個(相距上千公里的)換流站的控制系統(tǒng)事故。(出自電監(jiān)會(2012)12號文件)
(3)伊朗核電廠“震網(wǎng)”病毒事故,2010年6月,伊朗布什爾核電廠遭到“Stuxnet”(震網(wǎng))病毒的攻擊。該病毒利用Windows操作系統(tǒng)漏洞,透過USB傳播,專門攻擊西門子公司設(shè)計制造的供水、發(fā)電等基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)。經(jīng)過大量數(shù)據(jù)的分析研究發(fā)現(xiàn),“震網(wǎng)”蠕蟲病毒能夠?qū)ふ夷繕?biāo)設(shè)施的控制系統(tǒng),并且只有在指定配置的工業(yè)控制系統(tǒng)中才會被激活,從而控制被攻擊核電設(shè)施的冷卻系統(tǒng)或渦輪機的運作。最嚴重的情況,病毒能控制關(guān)鍵過程并開啟一連串執(zhí)行程序,可使設(shè)施失控,最終導(dǎo)致整個系統(tǒng)自我毀滅。(出自2010年9月中央電視臺的新聞報道)
(4)2008年黑客攻擊南美洲電網(wǎng)勒索政府。(出自2008年國際互聯(lián)網(wǎng)報道)
(5)某市電力調(diào)度,安全區(qū)I通信服務(wù)器由于廠家(KD公司)開發(fā)的軟件系統(tǒng)出現(xiàn)緩沖區(qū)溢出漏洞,造成核心服務(wù)器宕機(重啟等現(xiàn)象),并且無法與南網(wǎng)公司進行數(shù)據(jù)通訊,造成特大事故。(出自2010年國家電網(wǎng)-智能電網(wǎng)信息安全防護體系研究一文)
(6)2000年3月澳大利亞馬盧奇污水處理廠事故,一個工程師在應(yīng)聘澳大利亞的一家污水處理廠被多次拒絕后,遠程侵入該廠的污水處理控制系統(tǒng),惡意造成污水處理泵站的故障,致使超過1000立方米的污水被直接排入河流,造成嚴重的環(huán)境災(zāi)難。(出自2000年搜狐網(wǎng)報道)
(7)2006年美國哈里斯堡污水處理廠事故,黑客從Internet攻破了美國哈里斯堡的一家污水處理廠的安全措施,在其系統(tǒng)內(nèi)植入了能夠影響污水操作的惡意程序。(出自2006年網(wǎng)易新聞報道)
(8)2007年,攻擊者入侵加拿大的一個水利SCADA控制系統(tǒng),通過安裝惡意軟件破壞了用于控制從Sacrmento河調(diào)水的控制計算機。(出自2013年中國政務(wù)信息化網(wǎng)-信息化建設(shè)雜志)
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第二輯)》
北京市公安局海淀分局備案號:11010802023656號